Le système d'exploitation GNU-Linux/Le partage de fichiers NFS

Un livre de Wikilivres.
Aller à : navigation, rechercher


  1. Qu'est-ce qu'un système d'exploitation ?
  2. Unix et Linux
  3. Partitionnement du disque
  4. Installation
    1. Installer Debian via le réseau
  5. Utilisateur Unix, l'interface console
    1. Le login
    2. Commandes de base
    3. L'aide en ligne man
    4. L'éditeur de texte vi
    5. Les shells
    6. La complétion
    7. Les jokers
    8. Les répertoires importants
    9. Redirection des entrées/sorties
    10. Invoquer un programme en tâche de fond
    11. Propriétaires et droits d'accès
    12. Processus
    13. Locale
  6. Administration du système
    1. Configuration du réseau
    2. Les utilisateurs et groupes
    3. Le processus d'initialisation
    4. Les systèmes de fichiers
    5. Le système virtuel /proc
    6. Les périphériques /dev
    7. L'ordonnanceur de travaux cron
    8. Le backup : tar et gzip
    9. ghost avec partimage
    10. sauvegarde de fichiers avec rsync
    11. Les fichiers journaux syslog
    12. Installation de nouveaux logiciels
    13. Le noyau Linux et les modules
    14. Autres commandes utiles
    15. Installation RAID1 logiciel + LVM + XFS
    16. Scripts de surveillance
    17. Réseaux sans fil
  7. Administration des services réseaux
    1. Le serveur de noms BIND
    2. Le serveur de configuration réseau DHCP
    3. Le serveur de shell distant SSH
    4. Le partage de fichiers Samba
    5. Le partage de fichiers NFS
    6. Le serveur d'impression CUPS
    7. Le serveur de fichiers FTP
    8. Le serveur Web Apache
    9. La base de données MySQL
    10. Le serveur de mails Postfix
    11. Les annuaires LDAP
    12. L'outil d'administration Webmin
    13. La supervision
  8. Sécurisation d'un serveur Linux
    1. Installation d'un service en mode chroot
    2. Protection avec iptables
  9. Médiagraphie
  10. Auteurs


Le protocole NFS (Network File System) permet de partager des fichiers dans les réseaux Unix.

Installation du serveur NFS[modifier | modifier le wikicode]

Pour installer le serveur NFS sous Debian, il suffit de taper la commande suivante :

 # apt-get install nfs-kernel-server

Configuration du serveur NFS[modifier | modifier le wikicode]

La configuration du serveur NFS est stockée dans le fichier /etc/exports.

Ce fichier de configuration dispose d'une page de manuel :

 # man exports

Voici quelques exemples extrait du manpage :

 $ cat /etc/exports
 
 # fichier exemple /etc/exports
 /               master(rw) trusty(rw,no_root_squash)
 /projects       proj*.local.domain(rw)
 /usr            *.local.domain(ro) @trusted(rw)
 /home/joe       pc001(rw,all_squash,anonuid=150,anongid=100)
 /pub            (ro,insecure,all_squash)
  • La première ligne exporte l’ensemble du système de fichiers vers les machines « master » et « trusty ». En plus des droits d’écriture, toute transformation d’UID est désactivée pour l’hôte « trusty ».
  • Les deuxième et troisième lignes montrent des exemples de noms de machines avec caractères jokers, et de groupes de machines (« @trusted »).
  • La quatrième ligne montre comment mapper tous les utilisateurs vers UID et GID particulier.
  • La dernière ligne partage un répertoire /pub, à toutes les machines dans le monde, en effectuant les requêtes sous le compte anonyme. L’option insecure permet l’accès aux clients dont l’implémentation NFS n’utilise pas un port réservé.

A chaque modification du fichier /etc/exports, il faut relancer le serveur NFS pour que les modifications soient prises en compte :

 # /etc/init.d/nfs-kernel-server restart

On peut également utiliser la commande exportfs :

 # exportfs -ra
link={{{link}}}À faire...
parler des commandes showmount et rpcinfo
link={{{link}}}À faire...
rajouter une section qui parle des ports à ouvrir sur un firewall pour que NFS fonctionne

Options d'exportation[modifier | modifier le wikicode]

Voici les options d'exportation les plus courantes :

  • secure : cette option impose l’utilisation d’un port réservé (inférieur à 1024) comme origine de la requête.
  • rw : exporte le répertoire en lecture / écriture
  • ro : exporte le répertoire en lecture seule
  • async : le serveur NFS va pouvoir répondre que le fichier a été écrit sur le support de stockage, même si cela n'a pas encore été fait. Améliore les performances du serveur.
  • sync : le serveur NFS va écrire physiquement les fichiers sur le support de stockage avant de répondre. Réduit les performances du serveur.


Options liées aux correspondances de UID et de GID (UID et GID mapping)[modifier | modifier le wikicode]

Le principal problème avec NFS est la correspondance des UID et des GID. Effectivement, l'utilisateur alex peut avoir le UID 1000 sur le client et un UID différent sur le serveur. NFS travaille avec les UID et GID numérique, il va donc par défaut enregistrer sur le serveur que le fichier appartient à l'utilisateur 1000, et non à l'utilisateur alex.

Pour pallier à ces problèmes, NFS fournit des mécanismes pour transformer les UID et les GID.

Le problème se pose également avec le super-utilisateur root qui dispose du UID 0. Pour des raisons de sécurité, NFS va transformer par défaut les fichiers posés par le root vers le UID et le GID du compte anonyme (nobody.nogroup).

  • root_squash : option par défaut. transforme les requètes provenant de l'UID 0 / GID 0 vers le UID et GID du compte anonyme.
  • no_root_squash : ne transforme pas les requètes provenant de l'UID 0 / GID 0. A utiliser avec précaution.
  • all_squash : transforme tous les UID/GID vers le UID/GID de l’utilisateur anonyme.
  • anonuid : permet de spécifier le UID de l'utilisateur anonyme.
  • anongid : permet de spécifier le GID de l'utilisateur anonyme.

Voir les répertoires exportés[modifier | modifier le wikicode]

 # showmount
 192.168.30.10:/home
 192.168.30.12:/home
 ...


Utilisation de NFS depuis un poste client[modifier | modifier le wikicode]

La commande mount permet à un poste client d'accéder à un répertoire partagé par un serveur NFS.


Synopsis :

 # mount -t nfs <nom ou adresse IP du serveur NFS>:<répertoire partagé> <point de montage>

Exemple :

 # mount -t nfs pc230:/home/partage /mnt

Si on veut que ce répertoire soit accessible à chaque boot, il suffit de rajouter la ligne suivante dans le fichier /etc/fstab :

 $ cat /etc/fstab
 ...
 pc230:/home/partage  /mnt  nfs  defaults  0  0
 ...


Authentification centralisée avec NIS[modifier | modifier le wikicode]

Pour résoudre le problème des UID / GID non identiques, la solution consiste à déployer NIS.

Pour installer NIS sous Debian, utiliser la commande suivante :

 # apt-get install nis

Lors de l'installation il faut indiquer le domaine NIS, ce dernier peut être différent du domaine internet.

Pour le déploiement du serveur et des clients NIS, on va suivre la procédure Debian décrite dans le fichier /usr/share/doc/nis/nis.debian.howto.gz :

 # zmore /usr/share/doc/nis/nis.debian.howto.gz

Configuration du serveur NIS[modifier | modifier le wikicode]

Il faut tout d'abord vérifier que le fichier /etc/hosts contient l'adresse IP et le nom FQDN du serveur :

 # cat /etc/hosts
 ...
 192.168.30.230  pc230.mondomaine.fr pc230

Il faut ensuite vérifier que le fichier /etc/defaultdomain contienne le domaine NIS :

 # cat /etc/defaultdomain
 DOMAINENIS

Dans le fichier /etc/ypserv.securenets, on restreint l'utilisation du domaine NIS au domaine du réseau local. On remplace la ligne 0.0.0.0 0.0.0.0 par : 255.255.255.0 192.168.30.0.

 # vi /etc/ypserv.securenets
 ...
 255.255.255.0   192.168.30.0

On modifie ensuite /etc/default/nis pour indiquer qu'il s'agit du serveur NIS :

 # vi /etc/default/nis
 ...
 NISSERVER=master
 ...

On relance le serveur NIS :

 # /etc/init.d/nis restart

Cette étape peut prendre un certain temps ...

On lance ensuite la création des bases de données NIS avec la commande suivante :

 # /usr/lib/yp/ypinit -m

Ceci va créer les fichiers partagés dans le répertoire /var/yp/DOMAINENIS.

Configuration du client NIS[modifier | modifier le wikicode]

On installe nis (c'est le même paquet qui fait office de client et de serveur) :

 # apt-get install nis

On vérifie que le fichier /etc/defaultdomain contienne le domaine NIS :

 # cat /etc/defaultdomain
 DOMAINENIS

Dans le fichier /etc/yp.conf, on indique l'adresse IP du serveur NIS :

 # vi /etc/yp.conf
 ...
 ypserver 192.168.30.230


On démarre le client NIS :

 # /etc/init.d/nis restart

On vérifie que le fichier /etc/nsswitch.conf contient bien les lignes suivantes :

 # cat /etc/nsswitch.conf
 ...
 passwd:         files nis
 group:          files nis
 shadow:         files nis
 ...
 netgroup:       nis

L'option files indique au système d'aller voir les fichiers classiques /etc/passwd, /etc/group et /etc/shadow.

L'option nis indique au système d'aller ensuite interroger le serveur NIS.

A la fin du fichier /etc/passwd, on rajoute la ligne suivante :

 # echo "+::::::" >> /etc/passwd

A la fin du fichier /etc/shadow, on rajoute la ligne suivante :

 # echo "+::::::::" >> /etc/shadow

A la fin du fichier /etc/group, on rajoute la ligne suivante :

 # echo "+:::" >> /etc/group


Pour tester, on lance la commande suivante :

 # ypcat passwd.byname

On doit voir afficher le fichier /etc/passwd partagé.


Sur le serveur NIS, on rajoute un utilisateur :

 # adduser jack
 ...


Si tout fonctionne, on doit pouvoir se logger sur le client NIS avec l'utilisateur jack.